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A. Auftrag 

Die sogenannte BDSG-Novelle II (Bundestagsdrucksa- 
che 16/12011 mit den Änderungen der Bundestagsdmck- 
sache 16/13657; in Kraft getreten am 1. September 2009) 
enthält in dem neu eingefügten § 48 den Auftrag an die 
Bundesregierung, über die Auswirkungen der §§ 30a und 
42a des Bundesdatenschutzgesetzes (BDSG) bis zum 
31. Dezember 2012 zu berichten. 

Dieser Berichtspflicht kommt die Bundesregierung im 
Folgenden nach. 

B. Bericht 

I. § 30a BDSG 

1. Ziel der Regelung 

Die Regelung soll - entsprechend einer Prüfbitte des 
Bundesrates - den Besonderheiten der geschäftsmäßigen 
Markt- und Meinungsforschung gegenüber der Werbung 
Rechnung tragen. Die geschäftsmäßige Markt- und Mei- 
nungsforschung stellt für öffentliche und private Auftrag- 
geber mittels wissenschaftlicher Methoden und Techni- 
ken notwendige Informationen als empirische Grundlage 
und zur Unterstützung wirtschaftlicher, gesellschaftlicher 
und politischer Entscheidungen bereit. 


2. Auswirkungen in der Praxis 

Erfahrungen mit den Regelungen des § 30a BDSG liegen 
außerhalb der Markt- und Meinungsforschungsinstitute 
nicht bzw. kaum vor. In anderen Wirtschaftsbranchen so- 
wie für die Tätigkeit der Aufsichtsbehörden hatte die Vor- 
schrift seit ihrem Inkrafttreten keine Relevanz. 

Für die Markt- und Meinungsforschungsinstitute haben 
sich die folgenden Verbände der Markt- und Sozialfor- 
schung in Deutschland in einer gemeinsamen Stellung- 
nahme zu den Auswirkungen der gesetzlichen Vorschrif- 
ten des § 30a BDSG auf die Praxis der Markt-, Meinungs- 
und Sozialforschung geäußert: 

- Arbeitskreis Deutscher Markt- und Sozialforschungs- 
institute (ADM) 

- Arbeitsgemeinschaft Sozialwissenschaftlicher Insti- 
tute e.V (ASI) 

- Berufsverband Deutscher Markt- und Sozialfor- 
scher e.V. (BVM) 

- Deutsche Gesellschaft für Online-Forschung e.V. 
(DGOF) 

Die Verbände begrüßen insbesondere, dass mit § 30a 
BDSG die sachlich nicht zutreffende Gleichsetzung mit 
der Werbung, der Tätigkeit von Auskunfteien und mit 
dem Adresshandel im Datenschutzrecht aufgehoben 
wurde und die bewährten grundlegenden berufsständi- 
schen Verhaltensregeln der geschäftsmäßigen Markt-, 
Meinungs- und Sozialforschung Gesetzesrang erhalten 
haben. 

Redaktionell wird angemerkt, dass zu einem besseren 
Verständnis der Norm die Sätze 1 und 2 in § 30a Absatz 2 
BDSG getauscht werden sollten. 

Die Aufsichtsbehörden haben in keinem Falle von gravie- 
renden Problemen bei der Auslegung bzw. der Anwen- 
dung der Normen berichtet. 

Unterschiedlich diskutiert wird teilweise die Abgrenzung 
zwischen der Eigen-Marktforschung durch Unternehmen 


Zugeleitet mit Schreiben des Bundesministeriums des Innern vom 31. Dezember 2012 gemäß § 48 Absatz 1 Satz 1 des 
Bundesdatenschutzgesetzes 
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nach § 28 BDSG, der geschäftsmäßigen Markt- und Mei- 
nungsforschung im Sinne von § 30a BDSG sowie der 
wissenschaftlichen Forschung nach § 40 BDSG 

3. Stellungnahme der Bundesregierung 

§ 30a Absatz 2 BDSG regelt die Zweckbindung der im 
Rahmen des § 30a erhobenen Daten. Satz 1 enthält die 
allgemeine Regel, Satz 2 eine Sonderregelung für Daten, 
die nicht aus allgemein zugänglichen Quellen entnommen 
worden sind und die die verantwortliche Stelle auch nicht 
veröffentlichen darf Satz 3 regelt sodann die Verwen- 
dung von Daten für andere als die in den Sätzen 1 und 2 
genannten Zwecke. Angesichts dieser Abfolge sieht die 
Bundesregierung einen Änderungsbedarf nicht. 

Die zum Teil diskutierten Abgrenzungsprobleme zwi- 
schen der Eigen-Marktforschung durch Unternehmen 
nach § 28 BDSG, der geschäftsmäßigen Markt- und Mei- 
nungsforschung im Sinne von § 30a BDSG und der wis- 
senschaftlichen Forschung nach § 40 BDSG sind nach 
Auffassung der Bundesregierung Fragestellungen, die ty- 
pischerweise mit der Anwendung der abstrakten Norm in 
der Praxis einhergehen. Da durch diese Auslegungsfragen 
bislang keine gravierenden praktischen Probleme aufge- 
treten sind, sieht die Bundesregierung keinen Handlungs- 
bedarf 

II. § 42a BDSG 

1. Ziel der Regelung 

Die Vorschrift enthält eine Informationspflicht für nicht- 
öffentliche Stellen und diesen gleichgestellte öffentlich- 
rechtliche Wettbewerbsuntemehmen in den Fällen, in de- 
nen bestimmte besonders sensible personenbezogene Da- 
ten unrechtmäßig übermittelt oder Dritten unrechtmäßig 
zur Kenntnis gelangt sind und schwerwiegende Beein- 
trächtigungen für die Rechte oder schutzwürdigen Inte- 
ressen der Betroffenen drohen. 

Die Vorschrift knüpft an einen Vorschlag der Kommis- 
sion der Europäischen Gemeinschaften zur Änderung der 
Richtlinie 2002/58/EG über die Verarbeitung personenbe- 
zogener Daten und den Schutz der Privatsphäre in der 
elektronischen Kommunikation (KOM(2007) 698 endg.) 
sowie Regelungen im Recht der Vereinigten Staaten von 
Amerika mit dem Grundgedanken der „security breach 
notification“ an. Die Informationspflicht ist nach Satz 1 
Nummer 1 bis 4 auf besonders sensible personenbezo- 
gene Daten aus dem Verfügungsbereich der verantwortli- 
chen Stelle begrenzt. 

Voraussetzung ist, dass die verantwortliche Stelle anhand 
von tatsächlichen Anhaltspunkten feststellt, dass bei ihr 
gespeicherte personenbezogene Daten unrechtmäßig 
übermittelt oder auf sonstige Weise Dritten unrechtmäßig 
zur Kenntnis gelangt sind und schwerwiegende Beein- 
trächtigungen für die Rechte oder schutzwürdigen Inte- 
ressen der Betroffenen drohen. Letzteres bestimmt sich 
unter anderem nach der Art der Daten und den potenziel- 


len Auswirkungen der unrechtmäßigen Kenntniserlan- 
gung durch Dritte auf die Betroffenen. Die verantwortli- 
che Stelle hat in diesem Fall sowohl die zuständige 
Datenschutzaufsichtsbehörde als auch die Betroffenen zu 
informieren. 

Während die Benachrichtigung der Aufsichtsbehörden 
aufgrund ihrer Verschwiegenheitspflicht auch vor der Be- 
seitigung von Datensicherheitslücken und im Falle lau- 
fender Strafverfolgungsmaßnahmen erfolgen muss, stellt 
Satz 2 für die Benachrichtigung der Betroffenen klar, dass 
ein schuldhaftes Zögern insbesondere dann nicht gegeben 
ist, soweit die Datensicherungspflichten des § 9 BDSG 
oder Interessen der Strafverfolgung einer Veröffentli- 
chung der Datenschutzverletzung vorläufig noch entge- 
genstehen. Im ersteren Fall zielt die Regelung darauf ab, 
dem Verpflichteten die Möglichkeit zu geben, etwaige 
technische Sicherheitslücken, unter deren Ausnutzung die 
Datenschutzverletzung erfolgte, zu analysieren und so 
weit wie möglich zu beheben, bevor breitere Kreise von 
der Lücke Kenntnis erhalten. Dies entspricht dem in 
Fachkreisen mit „Responsible Disclosure“ („Verantwor- 
tungsvolle Offenlegung“) bezeichneten Vorgehen. 

Die Vorschrift dient damit zum einen der Eindämmung 
von Schäden, die durch die Datenschutzverletzung insbe- 
sondere beim Betroffenen entstanden sind. Als Reflex 
soll sie zum anderen zu verstärkten Anstrengungen der 
Unternehmen zur Sicherung dieser Daten führen. 

2. Auswirkungen In der Praxis 

Die Auswirkungen der neu geschaffenen Norm können 
vor allem anhand der Feststellungen der Aufsichtsbehör- 
den dargestellt und ausgewertet werden, zumal, da ihnen 
gegenüber eine Meldepflicht besteht. Aufgrund ihrer Un- 
abhängigkeit steht es den Aufsichtsbehörden frei, dem 
Bund über ihre Erfahrungen zu berichten. Gleichwohl ha- 
ben die Länder und der Bundesbeauftragte für den Daten- 
schutz und die Informationsfreiheit die Anzahl der nach 
§ 42a BDSG abgegebenen Meldungen mitgeteilt. Von 
den insgesamt 305 gemeldeten Fällen wurde nach den 
vorliegenden Unterlagen in 177 Fällen das Vörliegen der 
Tatbestandsvoraussetzungen des § 42a BDSG bejaht. 

Soweit der Hintergrund der Meldungen geschildert 
wurde, lassen sich folgende typische Fälle feststellen: 

- Verlust (Diebstahl, Abhandenkommen) von Hardware 
(U SB- Stick/Laptop/N otebook) 

- Falscher Versand/Verlust von Dokumenten mit perso- 
nenbezogenen Daten (z. B. Bankunterlagen wie Kon- 
toauszüge etc.) 

- Unberechtigter Zugriff auf Webserver/Erschleichen 
von Daten 

Der Schwerpunkt der Meldungen nach § 42a BDSG liegt 
erwartungsgemäß in solchen Ländern, die über eine hohe 
Dichte von Unternehmen verfügen, die personenbezo- 
gene Daten verarbeiten. 
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Im Einzelnen liegen folgende Meldungen (Stand 13. De- 
zember 2012) vor: 


Aufsichtsbehörde 

Meldungen 

insgesamt 

§42a 

bejaht 

Baden- Württemberg 
03.2011 bis 15.10.2012 

22 

14 

Bayern 
bis 12.2012 

49 

29 

Berlin 

03.2011 bis 08.2012 

40 

22 

Brandenburg 

01.2012 bis 01.10.2012 

2 

1 

Bremen 

03.2011 bis 09.10.2012 

4 

4 

Hamburg 

03.2011 bis 12.2012 

41 

14 

Hessen 
bis 02.2012 

24 

21 

Mecklenburg- Vorpom- 
mern 

bis 03.2012 

0 

0 

Niedersachsen 

03.2011 bis 12.2012 

19 

7 

Nordrhein-Westfalen 
20.11.2009 bis 

06.12.2012 

64 

45 

Rheinland-Pfalz 
bis 02.2012 

12 

2 

Saarland 

28.02.2011 bis 

17.04.2011 

1 

0 

Sachsen 
bis 02.2012 

7 

5 

Sachsen-Anhalt 
bis 03.2012 

0 

0 

Schleswig-Holstein 
bis 03.2012 

10 

5 

Thüringen 

09.12.2011 bis 

03.04.2012 

4 

4 

Bund 

bis 02.2012 

6 

4 


Zum Verständnis der Tabelle muss darauf hingewiesen 
werden, dass die Aufsichtsbehörden aufgrund EU-Rechts 
und der entsprechenden deutschen Vorschriften völlig un- 
abhängig sind und im Rahmen dieser Unabhängigkeit ei- 
genständig beurteilen, ob ein Fall des § 42a BDSG vor- 
liegt. 


3. Stellungnahmen der Aufsichtsbehörden 
für den Datenschutz 

Einige Aufsichtsbehörden für den Datenschutz haben kri- 
tische Anmerkungen zu der Norm übermittelt: 

a. Der Landesbeauftragte für Datenschutz und Informa- 
tionsfreiheit (EDI) Nordrhein- Westfalen (NRW), (für 
den letzten Spiegelstrich schließt sich der Berliner Be- 
auftragte für Datenschutz und Informationsfreiheit an) 
weist daraufhin, dass es 

- unterschiedliche Interpretationen zwischen Auf- 
sichtsbehörde und Unternehmen hinsichtlich der 
Voraussetzungen für die Anwendbarkeit des § 42a 
BDSG, wann eine schwerwiegende Rechts- und 
Interessenbeeinträchtigung droht, gebe. Es fehlten 
Richtlinien für die Gefahrenprognose, um in der 
Praxis eine einheitliche Entscheidungsfindung 
herbeiführen zu können 

- zweifelhaft sei, ob auch ein Dritter, stellvertretend 
für den Benachrichtigungspfiichtigen, der Infor- 
mationsp flicht nachkommen könne (z. B. Versi- 
cherung stellvertretend für selbständige Makler) 

- ein Spannungsverhältnis zwischen der Notwen- 
digkeit der Benachrichtigung und dem Vorbehalt 
für die Ermittlungstätigkeit bestehe 

- unterschiedliche Voraussetzungen bzw. eine Kol- 
lision zwischen § 42a BDSG und § 15a Tele- 
mediengesetz (TMG)/§ 93 Telekommunikations- 
gesetz (TKG) bestünden: Beim TMG reiche es 
schon aus, wenn „nur“ Bestandsdaten betroffen 
seien. 

Die Bundesregierung sieht keinen Änderungsbedarf 

Die hier geschilderten Abgrenzungs- und Interpreta- 
tionsdifferenzen zwischen den Aufsichtsbehörden und 
den Unternehmen sind nach Auffassung der Bundes- 
regierung Fragestellungen, die typischerweise mit der 
abstrakten Norm in der Praxis einhergehen. Da durch 
diese Auslegungsfragen bislang keine gravierenden 
praktischen Probleme aufgetreten sind, sieht die Bun- 
desregierung keinen Handlungsbedarf 

Nicht erkennbar ist, warum bei den in § 42a BDSG er- 
forderlichen Meldungen die Stellvertretungsregelun- 
gen nicht gelten sollten. 

Die Bundesregierung sieht das Spannungsverhältnis 
zwischen der Notwendigkeit der Benachrichtigung 
und dem Vorrang der Ermittlungstätigkeit, das § 42a 
Satz 2 BDSG in sich birgt. Da insbesondere von 
Hacker-Angriffen in aller Regel eine erhebliche Wie- 
derholungsgefahr ausgeht, sollte nach Auffassung der 
Bundesregierung im gesamtgesellschaftlichen Inte- 
resse daran festgehalten werden, dass der Strafverfol- 
gung zunächst Vorrang vor der Schadensminderung im 
Einzelfall eingeräumt wird. Vor allem bei drohenden 
schwerwiegenden Rechts- und Interessenbeeinträchti- 
gungen des Betroffenen sollte die verantwortliche 
Stelle aber Kontakt mit den Strafverfolgungsbehörden 
aufnehmen, um in Erfahrung zu bringen, wie und ob 
den Interessen des Betroffenen Rechnung getragen 
werden kann. 
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Im Hinblick auf die Regelungen des § 15a des Teleme- 
diengesetzes (TMG) und § 93 Absatz 3 des Telekom- 
munikationsgesetzes (TKG) wird auf die Begründung 
im Gesetzentwurf der Bundesregierung hingewiesen. 
Danach zielten die entsprechenden Gesetzesänderun- 
gen darauf ab, die Vorschrift des § 42a BDSG be- 
reichsspezifisch auch für Bestands- und Nutzungs- 
daten des Telemediengesetzes sowie für Bestands- und 
Verkehrsdaten des Telekommunikationsgesetzes zur 
Anwendung zu bringen (vgl. Bundestagsdrucksache 
16/12011, S. 36). Wegen des Erfordernisses, dass 
schwerwiegende Beeinträchtigungen für die Rechte 
oder schutzwürdigen Interessen des betroffenen Nut- 
zers drohen müssen, sieht die Bundesregierung keinen 
Wertungswiderspruch. 

§ 93 Absatz 3 TKG wurde durch Artikel 1 des Geset- 
zes zur Änderung telekommunikationsrechtlicher Re- 
gelungen vom 3. Mai 2012 (BGBl. I, S.958) geändert, 
ln Umsetzung des geänderten Artikel 4 der Daten- 
schutzrichtlinie 2002/58/EG (vgl. RL 2009/136/EG v. 
25. November 2009, Abi. L 337 v. 18. Dezember 2009, 
S. 30) sind die Rechte und Pflichten für den Fall der 
Verletzung personenbezogener Daten durch Anbieter 
öffentlich zugänglicher Telekommunikationsdienste 
nunmehr im neuen § 109a TKG ausführlich geregelt. 
Daneben kommt nur noch § 42a Satz 6 BDSG entspre- 
chend zur Anwendung (vgl. § 109a Absatz 1 TKG). 

b. Dem Landesbeauftragten für Datenschutz und Infor- 
mationsfreiheit Bremen und dem Bayerischen Landes- 
amt für Datenschutzaufsicht (denen sich der Berliner 
Beauftragte für Datenschutz und Informationsfreiheit 
anschließt) zufolge sollte § 42a Satz 1, 2. Alt. BDSG 
in der Weise klar gestellt werden, dass es genügt, 
wenn die verantwortliche Stelle feststellt, dass die Da- 
ten Dritten unrechtmäßig zur Kenntnis gelangt sein 
können. Das Abstellen auf die Tatbestandsvorausset- 
zung, dass die speichernde Stelle feststellt, dass die 
Daten Dritten zur Kenntnis gelangt sind, sei zu eng 
und führe in der Praxis zu Diskussionen. 

Die Bundesregierung sieht keinen Änderungsbedarf 

In der Literatur wird die Regelung richtigerweise so 
interpretiert, dass eine Meldepflicht nur besteht, wenn 
eine Kenntniserlangung mit hoher Wahrscheinlichkeit 
vorliegt (z. B. Dix, in: Simitis, BDSG, § 42a Rdnr. 8). 
Anderenfalls müsste jede folgenlose Unachtsamkeit 
gemeldet werden. Dies würde verkennen, dass die 
Norm keine umfassende Pflicht zur Selbstanzeige oder 
eine Bestrafung für Unachtsamkeit zum Ziel hat, son- 
dern Schaden vom Betroffenen abwenden und die Ver- 
antwortlichen zu einer stärkeren Wahrnehmung ihrer 
Verantwortung veranlassen will. 

c. Die Landesbeauftragte für Datenschutz und Informa- 
tionsfreiheit Bremen, (der sich der Berliner Beauf- 
tragte für Datenschutz und Informationsfreiheit an- 
schließt) kritisiert, dass neben der Tatsache des 
Abhandenkommens von Daten auch noch gefordert 
werde, dass aus dem Abhandenkommen Beeinträchti- 
gungen drohen und diese schwerwiegender Art sein 
müssen. Sie empfiehlt, diese Voraussetzungen zu strei- 
chen. 


Die Bundesregierung sieht keinen Änderungsbedarf 

§ 42a BDSG beinhaltet durch die Pflicht zur Selbstof- 
fenbarung und Selbstanzeige einen nicht unerhebli- 
chen Eingriff in die Grundrechte der verantwortlichen 
Stelle. Dieser ist nur zu rechtfertigen, wenn auf der 
Seite des Betroffenen ebenfalls ein erheblicher Ein- 
griff droht oder stattgefunden hat, selbst wenn eine 
solche Beeinträchtigung bei sensiblen Daten beson- 
ders wahrscheinlich ist. 

d. Der Landesbeauftragte für den Datenschutz Nieder- 
sachsen (LfD Niedersachsen) ist der Auffassung, dass 
die Neuregelung nicht zu einer Verbesserung des tech- 
nisch-organisatorischen Datenschutzes geführt hat. 

Die Bundesregierung sieht keinen Änderungsbedarf 

Aus den vorliegenden Stellungnahmen, soweit auf 
diesen Punkt eingegangen wird, kann geschlossen 
werden, dass von der Norm eine positive Wirkung auf 
die Umsetzung von technischen und organisatorischen 
Maßnahmen in Unternehmen ausgeht. Es wird daher 
davon ausgegangen, dass die aus dem April 2012 
stammende Beobachtung der Aufsichtsbehörde noch 
vorläufig und der Tatsache geschuldet ist, dass die 
durch das Inkrafttreten der Norm eingeleitete positive 
Entwicklung in der Zukunft auch im Bereich dieser 
Aufsichtsbehörde noch deutlicher hervortritt. 

4. Stellungnahme der Verbände 

a. Die angeschriebenen Verbände haben, soweit über- 
haupt Antworten vorliegen, übergreifend bestätigt, 
dass die Regelung positive Folgen zeitigt und sie die 
Sensibilität für den Datenschutz und infolgedessen die 
Aufmerksamkeit für die Datensicherheit in der Praxis 
erhöht hat. Vereinzelt wird von Interpretationsproble- 
men in dem schon bei den Aufsichtsbehörden erwähn- 
ten Rahmen berichtet. Hierzu wurde oben bereits Stel- 
lung genommen. Ebenfalls vereinzelt wird darauf 
hingewiesen, dass die Norm überflüssig sei, da die 
Unternehmen schon im Eigeninteresse, um Schaden- 
ersatz zu entgehen, die Betroffenen über Datenpannen 
unterrichten würden. 

b. Seitens der IT- Wirtschaft (BITKOM) wird ein überaus 
positives Fazit gezogen. Die Neuregelung sei ein pra- 
xistaugliches Instrument für den Fall von Datenpan- 
nen. Unternehmen hätten ihre Prozesse im Hinblick 
auf Datensicherheit weiter optimiert und technisch- 
organisatorische Maßnahmen (Datenverschlüsselung) 
zur Vorbeugung unternommen. Neue Prozesse würden 
etabliert, um im Fall einer Datenpanne die notwendi- 
gen Schritte schnell unternehmen zu können. Unter- 
nehmen seien nicht unverhältnismäßig belastet, da die 
Maßnahmen mit der vorhandenen Technik umgesetzt 
werden könnten. Die Vorschrift gewähre durch den 
Katalog Rechtssicherheit. Das Merkmal der „drohen- 
den schwerwiegenden Beeinträchtigung“ wahre die 
Verhältnismäßigkeit des Aufwandes für die verant- 
wortlichen Stellen. Der Schutz des § 42a Satz 6 BDSG 
(Verwertungsverbot) sei für die Effektivifät sinnvoll. 
Der Verband regt an, die Vorschrift in der geltenden 
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Fassung beizubehalten und als Vorbild für die Rege- 
lung entsprechender Mitteilungspflichten auf EU- 
bzw. Bundesebene zu nehmen. 

c. Von Seiten der Banken wird kritisiert, dass die verant- 
wortliche Stelle in Fällen des § 42a BDSG selbst Op- 
fer eines Datenmissbrauchs sei und deshalb Folgenbe- 
seitigung und Schadensbegrenzung im Interesse der 
verantwortlichen Stelle und der Betroffenen im Vor- 
dergrund stehen müssten. Die Schwelle für Meldun- 
gen müsse hoch sein, um eine Meldeflut zu verhindern 
und die Wahmehmungsbereitschaft bei den Betroffe- 
nen zu erhalten (Erfahrungen aus den USA). Wenn die 
verantwortliche Stelle durch Gegenmaßnahmen die 
Missbrauchsgefahr abhanden gekommener Daten 
weitgehend beseitige, solle das Verfahren nach § 42a 
BDSG grundsätzlich seine Erledigung finden. 

Das strafrechtliche Verwertungsverbot sollte auf die in 
dem Unternehmen tätigen Personen ausgedehnt wer- 
den, da sonst ggf Mitarbeiter keine Meldung machen, 
um sich nicht selbst zu belasten. 

Die Bundesregierung sieht keinen Änderungsbedarf 

ln bestimmten Fällen (Hacking) können sich Banken 
- auch - in der Rolle des Opfers einer Straftat befin- 
den. Die Informationspfiicht des § 42a BDSG dient 
aber nicht dazu, ein Fehlverhalten der verantwortli- 
chen Stelle zu ahnden, sondern Schaden zu mindern. 
Wenn die übrigen Anforderungen erfüllt sind (Drohen 
schwerwiegender Beeinträchtigungen s. o.), ist es in- 
sofern sachgerecht, dass die Banken diesen Offen- 
barungspfiichten gleichermaßen unterliegen. Da das 
Abhandenkommen von Konto- und anderen Bank- 
daten für die Betroffenen eine erhebliche Schadens- 
gefahr bedeuten kann, tragen die Banken nicht nur be- 
sondere Verantwortung bei der Absicherung der 
Daten, sondern auch bei der Schadensminderung mit- 
tels der Mitteilungen nach § 42a BDSG. 

Das strafrechtliche Verwertungsverbot in § 42a Satz 6 
BDSG dient der verfassungskonformen Auflösung des 


Spannungsverhältnisses, das darin besteht, dass der Be- 
nachrichtigungspflichtige sich entweder selbst bezichtigt 
oder nach § 43 Absatz 2 Nummer 7 BDSG ordnungswid- 
rig verhält (vgl. Bundestagsdrucksache 16/12011, S. 35). 
Benachrichtigungspfiichtig sind nach § 42a BDSG 
nicht-öffentliche Stellen im Sinne des § 2 Absatz 4 
BDSG und diesen gleichgestellte öffentlich-rechtliche 
Wettbewerbsuntemehmen nach § 27 Absatz 1 Satz 1 
Nummer 2 BDSG. Das Verwendungsverbot in Satz 6 
ist damit auf natürliche und juristische Personen sowie 
deren vertretungsberechtigte Organe und die von die- 
sen mit der eigenverantwortlichen Aufgabenwahmeh- 
mung beauftragten Personen anwendbar. Für eine 
Ausdehnung auf alle in einem Unternehmen tätigen 
Mitarbeiter besteht kein Bedarf, da diese nicht taugli- 
che Täter von Datenschutzverstößen sind und gleich- 
zeitig der Informationspfiicht unterliegen. 

C. Ergebnisse/Vorschläge 

Sowohl § 30a BDSG als auch § 42a BDSG finden erst 
seit kurzer Zeit praktische Anwendung. Dem vorstehen- 
den Bericht gern. § 48 BDSG zufolge haben sie sich bis- 
lang bewährt. Änderungen an den Vorschriften werden 
von Seiten der Bundesregierung derzeit nicht empfohlen. 

Insbesondere im Hinblick auf die Informationspfiicht bei 
Datenschutzverletzungen zeigt die Zahl der Meldungen 
nach § 42a BDSG, dass die Regelung trotz aller Diskus- 
sion um die richtige Interpretation, die eine solche funda- 
mentale Neuregelung mit sich bringt, in der Praxis ange- 
nommen wird und zu mehr Transparenz führt. Die damit 
verbundene Öffentlichkeitswirksamkeit trägt zudem dazu 
bei, das Datenschutz-Bewusstsein in den Unternehmen 
weiter zu stärken. Vor diesem Hintergrund hält die Bun- 
desregierung eine solche Informationspflicht auch auf eu- 
ropäischer Ebene für sinnvoll. Entsprechende Vorschläge 
der EU-Kommission im Entwurf für eine Datenschutz- 
Grundverordnung sind derzeit Gegenstand der Diskus- 
sion innerhalb der Bundesregierung und auf europäischer 
Ebene. 
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